Archiv: News

NIS-2 ist in Kraft, sind Sie betroffen?

Seit Anfang Dezember gilt in Deutschland das NIS-2-Umsetzungsgesetz. Damit wird, wenn auch mit leichter Verzögerung, eine EU-Richtlinie umgesetzt, die deutlich höhere Anforderungen an IT-Sicherheit, Risikomanagement und Meldepflichten für Unternehmen mit sich bringt.

Warum ist das jetzt relevant?

Während bislang nur rund 1.000 Unternehmen unter die KRITIS-Regelungen fielen (Kritische Infrastrukturen), rechnet man im Zuge von NIS-2 mit etwa 30.000 betroffenen Unternehmen in Deutschland. Viele Organisationen sind sich aktuell noch gar nicht bewusst, dass sie unter die neuen Vorgaben fallen könnten.

Wenn in Ihrem Unternehmen bisher noch keine Prüfung erfolgt ist, ob NIS-2 für Sie gilt, ist jetzt der richtige Zeitpunkt, das nachzuholen.

Gehört Ihr Unternehmen möglicherweise dazu?

Ein erster Hinweis ergibt sich, wenn Ihr Unternehmen in einer der folgenden Branchen tätig ist:

  • Gesundheitswesen
  • Maschinen- oder Fahrzeugbau
  • Transport & Logistik
  • Finanzwesen
  • Energie- und Wasserversorgung
  • Lebensmittelproduktion und -vertrieb
  • Medizinprodukte & In-vitro-Diagnostika

Zusätzlich gilt:

  • mehr als 50 Beschäftigte
    oder
  • bei weniger als 50 Beschäftigten ein Jahresumsatz von über 10 Mio. Euro

Was ist jetzt zu tun?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt einen kurzen Selbsttest zur Verfügung, mit dem Sie unkompliziert prüfen können, ob Ihr Unternehmen unter NIS-2 fällt. Der BSI-Kurzfragebogen ist verständlich aufgebaut und in wenigen Minuten ausgefüllt. Ergibt der Test eine Betroffenheit, ist der erste verpflichtende Schritt die Registrierung beim BSI. Alle weiteren Maßnahmen, etwa zu Sicherheitsprozessen, Dokumentation oder Meldewegen, lassen sich anschließend strukturiert und planbar angehen.

Wichtig zu wissen

Unternehmen, die trotz Verpflichtung nicht fristgerecht registriert sind, riskieren nach Ablauf der dreimonatigen Übergangsfrist ein Bußgeld.

Hier gelangen Sie direkt zum BSI-Selbsttest:
https://betroffenheitspruefung-nis-2.bsi.de/

Zahl der Datenpannen in Sachsen bleibt auf Rekordniveau

Zahl der Datenpannen in Sachsen bleibt auf Rekordniveau

Auch 2025 verzeichnet die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) erneut rund 1.000 Meldungen zu Datenschutzvorfällen, so viele wie im Rekordjahr zuvor. Häufige Ursachen sind Fehlversendungen, offene E-Mail-Verteiler oder verlorene Datenträger. In etwa jedem zehnten Fall steckt Cyberkriminalität dahinter. 

Wie Verantwortliche Datenpannen vermeiden und richtig reagieren können, erläutert die SDTB am
30. Oktober 2025 um 16 Uhr im kostenlosen Onlineseminar „Prävention und Meldepflichten bei Datenpannen – ein Leitfaden für die Praxis“.

Der entsprechende Seminar-Link wird am 30.10.2025 auf www.datenschutz.sachsen.de veröffentlicht. 

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/meldungen-von-datenpannen-in-sachsen-auf-rekordniveau-des-vorjahres-7771.html

Beitragsempfehlung von der Bundesbeauftragten für Datenschutz und Informationssicherheit, Prof. Dr. Louisa Specht-Riemenschneider

Künstliche Intelligenz ist längst nicht mehr nur ein technisches Schlagwort, sondern prägt zunehmend Wirtschaft, Verwaltung und Gesellschaft. Mit dieser Entwicklung stellen sich zahlreiche Fragen: Welche Chancen entstehen für Innovation und Wettbewerbsfähigkeit? Welche Risiken ergeben sich für Datenschutz, Grundrechte und demokratische Prozesse?

Die Bundesbeauftragte für Datenschutz und Informationssicherheit empfiehlt hierzu einen lesenswerten Artikel, der genau diesen Spannungsfeldern nachgeht:

„Künstliche Intelligenz als soziotechnische Entwicklung“ (Forschung & Lehre vom 09.09.2025)
Der Beitrag untersucht KI nicht nur als technische Innovation, sondern beleuchtet sie als Teil eines sozio-technischen Gefüges und diskutiert Machtverhältnisse, Regulierung und gesellschaftliche Implikationen. 

Lesen Sie Ihn hier:
https://www.forschung-und-lehre.de/recht/kuenstliche-intelligenz-als-soziotechnische-entwicklung-7278

Neue Pflichten durch den EU-Data Act

Am 12.09.2025 ist der EU-Data Act in Kraft getreten. Damit verbunden sind neue Rechte, aber auch Pflichten für Unternehmen. Der Artikel der GDD (Gesellschaft für Datenschutz und Datensicherheit) fasst die wichtigsten Neuerungen zusammen:

  • Der Data Act gilt europaweit unmittelbar. 
  • Er verpflichtet Anbieter vernetzter Geräte und Dienste dazu, Datenzugang zu ermöglichen und erleichtert den Anbieterwechsel. 
  • Für Unternehmen bringt das sowohl Anforderungen (z. B. technische Umsetzung, Datenzugänglichkeit) als auch neue Ansprüche als Nutzer. 
  • In Deutschland ist unter anderem die Bundesnetzagentur als Aufsichtsbehörde vorgesehen, die Rolle der BfDI wird in datenschutzrechtlichen Fragen hervorgehoben. 

Lesen Sie mehr unter:
https://www.gdd.de/aktuelles/eu-data-act-ab-heute-unmittelbar-geltendes-recht-neue-pflichten-aber-auch-rechte-fuer-europaeische-unternehmen/

Praxistipps für die Beendigung der Auftragsverarbeitung

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat ein neues Kurzpapier veröffentlicht, das Verantwortlichen praxisnahe Empfehlungen gibt, wie Auftragsverarbeitungsverhältnisse rechtssicher und datenschutzkonform beendet werden können. 

Es behandelt u. a.: 

  • welche Anforderungen die EU-DSGVO an die Rückgabe und Löschung personenbezogener Daten
    nach Vertragsende stellt,
  • welche Pflichten Auftragsverarbeiter dabei erfüllen müssen, 
  • und welche Kontroll- und Auswahlpflichten Verantwortliche beachten sollten. 

Download GDD-Kurzpapier 3 – Praxistipps für die Beendigung der Auftragsverarbeitung:
https://www.datenschutz-prodatis.com/nl/Praxistipps-fuer-die-Beendigung-der-Auftragsverarbeitung.pdf

Erweiterter Chat-Datenschutz: Meta ermöglicht mehr Kontrolle über WhatsApp Nachrichten

Bereits im April eingeführt, rückt mit den letzten Datenschutz-Bedenken die neue Funktion Erweiterter Chat-Datenschutz mehr in den Fokus der Endverbraucher. Doch was kann der erweiterte Chat-Datenschutz?

Was bringt die neue Funktion und welche Vorteile hat der Erweiterte Chat-Datenschutz?

Im Ganzen geht es um Einschränkungen für andere Nutzer. Mit Einschalten des erweiterten Chat-Datenschutzes können die Personen des Chats:

  • Medien nicht mehr automatisch in Galerien der jeweiligen Geräte speichern.
  • Meta-AI-Funktionen (z. B. die Erwähnung von @Meta AI oder die KI-Zusammenfassung ungelesener Nachrichten) im Chat nicht mehr verwenden.
  • den betroffenen Chat nicht mehr exportieren.

Diese neuen Möglichkeiten bringen einige Vorteile mit sich: Nutzer können nun besser kontrollieren, welche Informationen nach außen getragen und verbreitet werden dürfen. Bedauerlicherweise hält dies aber noch nicht den kompletten Schutzeffekt für die Endverbraucher parat, denn Nachrichten weiterleiten und Screenshots anfertigen sind nach wie vor möglich. Außerdem ändert der erweiterte Chat-Datenschutz nichts an Metas grundsätzlicher Praxis, Inhalte, die aktiv an Meta AI geschickt werden, für das KI-Training zu verwenden. Ein Thema, das Meta im Mai noch einmal öffentlich betont hat. Benutzer hoffen, dass es hier in naher Zukunft ebenso mehr Kontrolloptionen geben wird.

Wichtig zu wissen: Für jeden Chat und auch für jeden Gruppen-Chat muss diese Einstellung einzeln aktiviert werden. Außerdem ist diese Funktion nicht für Unternehmen verfügbar, die Meta beauftragt haben, Nachrichten sicher aufzubewahren und Kunden zu antworten.

Datenschutz bei der Parkraumüberwachung

Immer mehr Parkflächen werden mit automatisierten Systemen überwacht, die Kennzeichen erfassen und den Parkvorgang dokumentieren. Was für Betreiber eine effiziente Lösung zur Kontrolle darstellt, wirft aus datenschutzrechtlicher Sicht wichtige Fragen auf: Wann dürfen Kennzeichen erfasst werden? Wie müssen Nutzer informiert werden? Und welche Hinweise sind auf Schildern erforderlich, damit die Informationspflichten der DSGVO erfüllt sind?

Wichtige Punkte:

  • Eine Rechtsgrundlage nach Art. 6 DSGVO ist zwingend erforderlich.
  • Betroffene müssen rechtzeitig nach Art. 13 DSGVO informiert werden, nicht erst an der Schranke.
  • Hinweise sollten den Begriff „Kfz-Kennzeichenerfassung“ verwenden und durch ein leicht verständliches Symbol ergänzt werden.

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/datenschutz-bei-parkraumueberwachung-6484.html

Vorlage zur Anzeige der Kennzeichenerfassung:
https://www.datenschutz.sachsen.de/download/Gestaltungsvorschlag_Symbol_Kennzeichenerfassung.pdf

Anonymisierung und Pseudonymisierung von Kundendaten

Kundendaten sind für viele Unternehmen ein zentraler Bestandteil des Geschäftserfolges, gleichzeitig stellen sie ein sensibles Gut dar. Ein unzureichender Schutz kann zu Vertrauensverlust und rechtlichen Konsequenzen führen. Daher stellt sich die Frage: Wie lassen sich Daten so verarbeiten, dass sie für Analysen, Statistiken oder Geschäftsprozesse genutzt werden können, ohne den Datenschutz zu verletzen?

Zwei Verfahren sind hier besonders relevant:

  • Anonymisierung: Daten werden so verändert, dass ein Personenbezug dauerhaft ausgeschlossen ist. In diesem Fall findet die DSGVO keine Anwendung mehr.
  • Pseudonymisierung: Personenbezüge werden durch Pseudonyme ersetzt. Die Daten bleiben zwar dem Grundsatz nach personenbezogen, sind aber besser geschützt und erhöhen die Sicherheit der Verarbeitung nach Art. 32 DSGVO.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/anonymisierung_pseudonymisierung_von_kundendaten.pdf

Wenn eine Änderung der AGB schädlich für Ihre Daten sein kann

Nicht selten passiert es, dass Unternehmen kollektive Inhalte von Nutzern ohne Erlaubnis an Drittanbieter für Werbemittel verkaufen, ohne, dass die Nutzer als Urheber dieser Inhalte einen Teil der Einnahmen erhalten oder gar davon wissen. Eine solche Methode wurde zuletzt bei Unternehmen wie Meta, Betreiber von WhatsApp und Facebook, kritisiert, da Medien wie Bilder und Videos biometrische Daten enthalten, die wiederum datenschutzrechtlich geschützt sind.

Zuletzt geriet hier Anbieter der Videosoftware CapCut in den Fokus, in dessen neuen Terms of Service verdeutlicht wird, dass Nutzerinhalte, die in diesem Dienst auf den Server hochgeladen werden, an Partner und Drittanbieter zur vollständigen Nutzung und Variation zur Verfügung gestellt werden.

Hinter „Terms of Service“ bzw. AGBs verstecken sich häufig Klauseln, die von Benutzern überlesen oder ignoriert, aber dennoch akzeptiert werden. Dabei stell in vielen Situationen die Nutzung der Software bereits das Akzeptieren dieser Bedingungen dar. 

Um böse Überraschungen für die eigenen oder Unternehmens zu vermeiden, befolgen Sie am besten folgende Best Practictes

  • Lesen Sie die AGB immer genau durch und akzeptieren Sie keine Neuerungen, ohne sie vorher gelesen zu haben
  • Lesen Sie die AGB durch, BEVOR Sie den Dienst nutzen
  • Löschen Sie Ihren Account und deinstallieren Sie die Software, sobald Sie mit neuen AGBs nicht (mehr) einverstanden sind.
  • Fordern Sie das Unternehmen hinter dem Dienst zur ausnahmslosen Löschung aller durch Sie gespeicherten Daten auf.
  • Machen Sie jederzeit von Ihren Rechten nach der DSGVO Gebrauch, vor allem auf:
    • Recht auf Auskunft
    • Recht auf Löschung

Lesen Sie mehr unter:
Datenschutzgesetze und Unternehmen

Führerscheinkontrollen durch Arbeitgeber?

Die Führerscheinkontrolle stellt eine Verarbeitung personenbezogener Daten dar. Damit diese zulässig ist, braucht es eine Rechtsgrundlage. In der Regel stützt sich diese auf das berechtigte Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO) in Verbindung mit der Haltersorgfaltspflicht. Gleichzeitig sind die Grundsätze der Datenminimierung und Zweckbindung zu beachten.

Praktische Umsetzung

  • Frequenz: Eine Kontrolle pro Halbjahr ausreichend.
  • Dokumentation: Es sollte nur die Kontrolle dokumentiert werden, nicht der Führerschein kopiert.
  • Verfahren: Eine persönliche Sichtkontrolle ist meist datenschutzfreundlicher als digitale Verfahren, die Scans speichern.

Besonderheiten bei digitalen Lösungen

Immer mehr Unternehmen nutzen Apps oder digitale Tools für die Führerscheinkontrolle.
Dabei ist zu prüfen:

  • Welche Daten werden erhoben und gespeichert?
  • Wo werden diese gespeichert?
  • Wer hat Zugriff darauf?

Der Datenschutzbeauftragte sollte frühzeitig eingebunden werden.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat das Thema in seinem Tätigkeitsbericht für das Jahr 2024 (S. 113–117) umfassend aufgegriffen. Er erläutert dabei nicht nur, worauf Arbeitgeber bei der Kontrolle von Personalausweisen ihrer Beschäftigten achten müssen, sondern weist auch auf die besondere gesetzliche Grundlage für das Kopieren von Personalausweisen hin (§ 20 Abs. 2 Personalausweisgesetz). Gerade für größere Unternehmen mit einer eigenen Fuhrparkleitung ist das relevant, da dort häufig nicht jeder Mitarbeiter persönlich bekannt ist.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/fuehrerscheinkontrollen_durch_arbeitgeber.pdf

Auszug aus dem Tätigkeitsbericht des HBDI zur Führerscheinkontrolle:
https://www.datenschutz-prodatis.com/nl/Auszug_Fuehrerschein_TB_Hessen_LfD_53_2024.pdf

Vollständiger Tätigkeitsbericht des HBDI:
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2025-05/53-tb-online.pdf